SAGE 2.2 Ransomware: постоянная угроза блокировки файлов
Table of Contents
Печально известная эволюция программ-вымогателей
SAGE 2.2 Ransomware — это усовершенствованная версия штамма Sage ransomware, разработанная для шифрования файлов и удержания их в заложниках до тех пор, пока не будет выплачен выкуп. Как и его предшественники, он изменяет затронутые файлы, добавляя расширение «.sage» и отправляя записку с требованием выкупа с меткой «!HELP_SOS.hta», чтобы информировать жертв о шифровании. Помимо блокировки файлов, SAGE 2.2 изменяет обои рабочего стола, чтобы усилить свое требование оплаты.
Программа-вымогатель систематически переименовывает файлы, например, преобразуя «document.pdf» в «document.pdf.sage» и т. д. Это сразу дает понять жертвам, что их данные были скомпрометированы. Сопроводительная записка с требованием выкупа представлена как в текстовом, так и в аудиоформате. Она доступна на нескольких языках, включая английский, немецкий, итальянский, португальский, испанский, французский, корейский, голландский, арабский, персидский и китайский.
Записка о выкупе и инструкции к ней
SAGE 2.2 информирует жертв о том, что их файлы были зашифрованы и что единственный способ восстановить их — получить инструмент «SAGE Decrypter» вместе с уникальным ключом дешифрования. В заметке предостерегают от попыток использовать альтернативные инструменты дешифрования, заявляя, что это может навсегда повредить файлы. Для облегчения оплаты и общения злоумышленники предоставляют веб-ссылки, где жертвы предположительно могут приобрести программное обеспечение для дешифрования.
Если предоставленные ссылки не срабатывают, жертвам предлагается загрузить и использовать Tor Browser, инструмент, обычно связанный с анонимным просмотром веб-страниц. Записка о выкупе также содержит подробные шаги по доступу к ссылкам даркнета, гарантируя, что даже те, кто не знаком с Tor, смогут выполнить требования злоумышленников. Кроме того, инструкции подкрепляются сменой обоев рабочего стола, что затрудняет игнорирование их жертвами.
Вот что говорится в записке о выкупе:
File recovery instructions
You probably noticed that you can not open your files and that some software stopped working correctly.This is expected. Your files content is still there, but it was encrypted by "SAGE 2.2 Ransomware".
Your files are not lost, it is possible to revert them back to normal state by decrypting.
The only way you can do that is by getting "SAGE Decrypter" software and your personal decryption key.
Using any other software which claims to be able to restore your files will result in files being damaged or destroyed.
You can purchase "SAGE Decrypter" software and your decryption key at your personal page you can access by following links:
If none of these links work for you, click here to update the list.
Updating links...
Something went wrong while updating links, please wait some time and try again or use "Tor Browser" method below.
Links updated, if new ones still don't work, please wait some time and try again or use "Tor Browser" method below.
If you are asked for your personal key, copy it to the form on the site. This is your personal key:
-
You will also be able to decrypt one file for free to make sure "SAGE Decrypter" software is able to recover your filesIf none of those links work for you for a prolonged period of time or you need your files recovered as fast as possible, you can also access your personal page using "Tor Browser".
In order to do that you need to:
open Internet Explorer or any other internet browser;
copy the address hxxps://www.torproject.org/download/download-easy.html.en into address bar and press "Enter";
once the page opens, you will be offered to download Tor Browser, download it and run the installator, follow installation instructions;
once installation is finished, open the newly installed Tor Browser and press the "Connect" button (button can be named differently if you installed non-English version);
Tor Browser will establish connection and open a normal browser window;
copy the address
-
into this browser address bar and press "Enter";
your personal page should be opened now; if it didn't then wait for a bit and try again.
If you can not perform this steps then check your internet connection and try again. If it still doesn't work, try asking some computer guy for help in performing this steps for you or look for some video guides on YouTube.You can find a copy of this instruction in files named "!HELP_SOS" stored next to your encrypted files.
Чего хочет вирус-вымогатель вроде SAGE 2.2
Программы-вымогатели, включая SAGE 2.2, существуют в первую очередь для вымогательства денег у жертв. Шифруя важные файлы и ограничивая доступ, злоумышленники ставят жертв в отчаянное положение, когда они могут почувствовать себя вынужденными подчиниться. Однако эксперты по кибербезопасности предостерегают от уплаты выкупа, поскольку нет уверенности, что злоумышленники предоставят работающий инструмент дешифрования. Во многих случаях жертвы, которые платят, не получают свои файлы обратно и даже могут снова стать целью.
Поскольку SAGE 2.2 может оставаться активным и продолжать шифровать новые файлы или распространяться по локальной сети, необходимо немедленное действие для предотвращения дальнейшего ущерба. Без действительной резервной копии или сторонних инструментов дешифрования восстановление файлов часто невозможно.
Как программы-вымогатели заражают системы
Программы-вымогатели, такие как SAGE 2.2, обычно проникают в системы с помощью обманных методов. Одним из наиболее распространенных векторов заражения являются мошеннические электронные письма, содержащие вредоносные вложения или ссылки. Когда пользователи взаимодействуют с этими элементами, они неосознанно загружают и запускают программу-вымогатель на своих устройствах.
Другой метод включает скомпрометированные веб-сайты или уязвимости программного обеспечения. Киберпреступники используют бреши в безопасности устаревших операционных систем или приложений для автоматического развертывания программ-вымогателей. Кроме того, использование ненадежных источников программного обеспечения, таких как одноранговые сети (P2P), сторонние загрузчики или пиратское программное обеспечение, может подвергнуть пользователей скрытым угрозам программ-вымогателей.
Меры предосторожности против программ-вымогателей
Предотвращение заражения вирусами-вымогателями требует проактивных привычек кибербезопасности. Пользователи должны быть осторожны при работе с электронными письмами от незнакомых отправителей и избегать нажатия на неожиданные вложения или ссылки. Проверка легитимности сообщения перед открытием его содержимого может предотвратить случайное заражение.
Загрузка программного обеспечения только из официальных источников, таких как веб-сайты разработчиков или надежные магазины приложений, сводит к минимуму риск столкнуться с вредоносными загрузками. Также важно избегать пиратского программного обеспечения, инструментов взлома и генераторов ключей, поскольку это распространенные каналы распространения программ-вымогателей. Поддержание операционных систем и программного обеспечения в актуальном состоянии помогает закрыть уязвимости безопасности, которыми могут воспользоваться злоумышленники.
Заключительные мысли
Программы-вымогатели остаются одной из самых разрушительных угроз в кибербезопасности, а такие штаммы, как SAGE 2.2, демонстрируют ее эволюционирующий характер. Финансовые и эмоциональные страдания, вызванные атаками на шифрование файлов, подчеркивают важность поддержания безопасных резервных копий.
Пользователи могут смягчить последствия инцидентов с программами-вымогателями, сохраняя резервные копии на внешних дисках или в облачных сервисах, не подключенных к основной системе. Комплексная стратегия кибербезопасности, включающая бдительность, обновления программного обеспечения и безопасные методы резервного копирования, также может снизить вероятность заражения такими угрозами.
